IPv6 주소 금지


16

저는 현재 fail2ban과 같은 도구를 사용하여 IPv4 주소를 금지하여 서버에서 원치 않는 트래픽을 멀리하는 데 익숙합니다. IP 당 너무 많은 잘못된 로그 항목, IP 금지.

그러나 세계가 IPv6으로의 마이그레이션을 완료하면 "일반"봇넷 컴퓨터 나 공격자가 상당히 많은 IPv6 주소를 가지고 있기 때문에 단일 주소 금지가 더 이상 작동하지 않을 수 있습니까?

IPv6 사용자를 차단하려면이를 수행하는 가장 좋은 방법은 무엇입니까? 특정 IP 마스크 나 다른 것을 사용 하시겠습니까?

IPv6 내에서 여러 개의 개별 적중을 얻은 다음 전체 블록을 금지 할 때 "업 스케일링 휴리스틱"을 수행하는 것은 어떻습니까?

저에게는 위협을 완화시키는 것이 더 중요합니다. 일부 불완전한 정품 사용자가 차단 된 IP를 사용하여 동일한 블록에 속하는 경우 해당 사람과 ISP 사이에서 해당 넷 블록을 지우는 것이 문제입니다.

답변:


6

/ 64 크기의 서브넷이 공격에 사용될 경우 / 128 당 금지는 확장되지 않습니다. 결국 테이블에 2 ^ 64 개의 항목이 생겨 서비스 거부가 발생할 수 있습니다.

최종 사용자는 항상 전체 주소 할당 정책 당 / 56을받습니다. 기업은 항상 전 세계 주소 당 / 48를받습니다.

참고 : https://tools.ietf.org/html/rfc6177를 / 128 서버 / 사용자에게 할당해서는 안됩니다, 다른 기업에 최소 할당 A / 64해야한다 (서버 / 고객 VPS). 사이트에 대한 최소 할당량은 / 56이어야합니다. / 128을 줄 경우 기본적으로 고장이 나고 구성 오류로 간주해야합니다.

따라서 일반적인 최종 사용자가 2 ^ 8 / 64에만 액세스 할 수 있으므로 / 64 당 임시 금지를 권장합니다. 금지 테이블에 너무 많은 항목이 들어가서는 안됩니다.


1
/64하나의 문제가있는 IP로 인해 전체를 차단 하면 합법적 인 사용자가 차단됩니다.
kasperd

1
예, 그러나 동일한 사이트에있는 경우에만 해당됩니다. 따라서 예, 사용자 VLAN은 한 건물 내에서 차단 될 수 있습니다. 또는 VM 중 하나가 클라우드에서 오작동하는 경우 고객에게 속한 모든 VM. 서버에 대해 여러 사용자에게 / 64를 할당하는 것은 여러 가지면에서 문제가 있습니다. 그러나 / 64 당 블로킹의 서비스 거부 공격 표면은 / 128보다 훨씬 낮습니다.
Wilco Baan Hofman 2014

10

귀하의 질문에 대한 답변에는 어느 정도의 추측이 필요합니다. IPv6 배포는 아직까지 우리가 아직 모르고있을 정도로 충분히 적습니다. 위협 시나리오의 모양은 무엇입니까?

다수의 IPv6 주소는 고려해야 할 위협 시나리오에 여러 가지 변경 사항을 도입합니다.

우선 IPv4를 사용하면 공격자가 3 억 7 천만 개의 라우팅 가능한 IPv4 주소에서 취약한 서비스에 대한 기본 포트 번호를 검색 할 수 있습니다. IPv6에서는 이러한 대상이 지정되지 않은 공격을 실행할 수 없습니다. 여전히 당신이 볼 수있는 공격은보다 표적이되어야합니다. 이것이 공격 처리에서 많은 변화를 가져야한다는 것을 의미하는지 여부는 여전히 남아 있습니다.

로그 메시지를 기반으로 IP를 금지하는 주요 목적은 로그의 노이즈를 줄이고 시스템로드를 어느 정도 줄이는 것입니다. 익스플로잇에 대한 보호 역할을해서는 안됩니다. 약점을 알고있는 공격자는 차단이 시작되기 전에 내부에있을 수 있으므로 항상 필요했던 것처럼 취약점을 패치해야하는 것을 방지 할 수 있습니다.

개별 IPv6 주소를 금지하면 로그의 노이즈를 줄이기에 충분할 수 있습니다. 그러나 그것은 주어진 것이 아닙니다. 공격자가 모든 연결에 대해 사용 가능한 범위의 새 IP 주소를 사용할 가능성은 거의 없습니다. 공격자가 개별 IPv6 주소를 차단하는 것이 효과가 없을뿐만 아니라 방화벽 규칙에 모든 메모리를 사용하여 실수로 DoS 공격을 유발할 수도 있습니다.

각 개별 공격자가 사용할 수있는 접두사의 길이를 알 수 없습니다. 너무 짧은 접두사를 차단하면 합법적 인 사용자도 포함시켜 DoS 공격이 발생합니다. 너무 긴 접두사를 차단하면 효과가 없습니다. 암호 무차별 대입 시도는 특히 많은 클라이언트 IPv6 주소를 사용합니다.

공격자가 각 요청에서 IPv6 주소를 전환하지 못하도록 방지하고 메모리 사용을 줄이려면 범위를 차단해야하며 접두사 길이를 미리 알지 못하므로 접두사 길이를 동적으로 조정해야합니다.

휴리스틱을 이미 생각 해낼 수 있습니다. 우리가 아직 잘 모르는 정도

휴리스틱은 모든 접두사 길이마다 해당 길이의 접두사를 차단하는 데 걸리는 IP 수의 임계 값을 정의하는 것입니다. 더 긴 접두사로 충분하지 않은 경우 차단은 특정 길이로만 적용해야합니다. 즉, 실제로 블록을 시작하려면 두 개의 절반에 각각 개별적으로 차단 된 IP가 충분해야합니다.

예를 들어 / 48을 차단하려면 / 48을 구성하는 두 / 49 각각에 100 개의 차단 된 IP가 있어야한다고 결정할 수 있습니다. 접두사가 길수록 차단에 필요한 IP의 수가 적어 지지만 모든 경우에 두 절반에 걸쳐 분산되어야합니다.


1
거의 5 년 후, IPv6 및 Fail2ban을 다시 고려한 적이 있습니까?
Paul

2

단일 주소 금지를 고수해야합니다.

최종 사용자에게 몇 개의 주소가 제공 될지는 정의되지 않았습니다. 일부 ISP는 전체 서브넷을 제공하고 다른 ISP는 하나의 주소 만 제공 할 수 있습니다.


두 번째 질문에 대해서도 같은 대답입니다. 반대쪽에 어떤 네트워크 설정이 정의되어 있는지 알 수 없으므로 많은 사용자를 차단할 수 있습니다.
Pierre-Yves Gillier
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.